Информационная безопасность

Важность информационной безопасности сегодня трудно недооценить.

Каждый день мы пользуемся интернетом и иными сетевыми технологиями, они изменили нашу жизнь и являются неотъемлемой частью ведение бизнеса и коммуникациями между людьми.

Видеоразговоры, переписка по электронной почте, средства пересылки коротких сообщений, или иная совместная работа специалистов над проектом в разных точках планеты. Данные технологии использует любая Компания на высоко конкурентном рынке.

Но данные возможности имеют и обратную сторону. Чем больше конфиденциальной информации мы загружаем в компьютеры, смартфоны, планшеты и чем чаще мы обмениваемся её с коллегами, друзьями, членами семьи, тем выше вероятность незаконного доступа к ней третьих лиц.

В целом можно разделить защиту информации на три составные части, обеспечение конфиденциальности, целостности, доступности. Ниже приведены примеры атак по этим направлениям.

Конфиденциальность информации — это в первую очередь доступ и распространение. Потеря рядового документа может пройти незамеченной для компании, так как реальная стоимость его — час работы специалиста. Однако при направленной передаче этого документа конкурентам, в момент когда решается важный проект, может стоит значительных сумм, репутации или лидерства в определенном направлении бизнеса. Ещё пример из практики, важный сотрудник периодически работает дома, данные переносит на флэш-накопителе. Случайно в поезде у него крадут пиджак с флэшкой, содержащей несколько десятков важных и ценных документов о деятельности компании. Раньше воры просто выкинули бы флэшку или отформатировали для дальнейшего использования. Однако теперь не редки случаи когда похититель, при обнаружении носителя информации, находит через интернет владельцев и шантажирует их передачей данных конкурентам.

Целостность это точность и неизменность информации. Современные программные комплексы обработки информации хранят свои данные в базах. Со временем эти базы растут в размере, что требует введения подсистем резервного копирования. Однако делается это далеко не всегда на должном уровне. Чаще всего бывает, так: есть 1 база + 1 резервная копия на любой момент времени. Однако следствием воздействия вирусов, ошибок в программном обеспечении или халатности сотрудников может стать частичное или полное повреждение базы, факт обнаруживается не сразу, или сотрудники намеренно скрывают его, опасаясь ответственности. Через некоторое время обнаруживается, что и база данных и резервная копия уже содержат повреждённую информацию. Восстановление же баз данных в отличие от отдельных файлов процесс весьма трудоёмкий, дорогой и во многих случаях заканчивается неудачей. Как результат сорванные сроки, штрафы и переработки. С целостностью так же связаны намеренные внесения ложных или модифицированных данных в документы. Чаще всего это делается в документах, которые участвуют в длинном цикле редактирования. Результатом является ущерб в виде потраченного сотрудниками времени, срыва сроков производства работ и, в случае если ошибка не была обнаружена, принятие компанией ошибочных решений, заключение невыгодных контрактов, ошибки в размещении заказов или производстве товаров и услуг. Установить виновного в таких случаях бывает сложно, так как стандартные средства работы с документами, как правило, не поддерживают контроль изменений.

Доступность в первую очередь это аппаратная инфраструктура, её надёжность. Сейчас трудно даже представить себе офис без компьютеров, а где есть компьютеры, там есть сети и сервисы. Даже самая базовая офисная сетевая инфраструктура включает в себя такие сервисы как общие файловые хранилища, совместное использование принтеров, использование единого интернет-подключения. И всё чаще к этому комплекту добавляются совместный доступ к бухгалтерским программам и СRM. Любой выход из строя сетевого оборудования, линий связи, как минимум отрежут сотрудников от их рабочей информации и интернета, что практически парализует работу. И хорошо если в компании есть сотрудник, отвечающий за IT обеспечение и запас типового сетевого оборудования. Простой можно свести к минимуму. а в случае отсутствия доступа в интернет, при авариях у провайдера, ущерб и сроки восстановления могут быть значительно больше. Электронная почта и прочие средства обмена информацией с коллегами, клиентами, другими компаниями воспринимаются как что то незыблемое в условиях современных бизнес отношений. Когда связь с интернетом пропадает, ущерб в значительной степени зависит от вида деятельности компании. Однако есть бизнес процессы целиком завязанные на интернет например участие в электронных аукционах и прочих торговых процедурах или приём заявок с сайта. В этом случае резервные каналы доступа и автоматическая балансировка нагрузки, в случае вывода основного канала обеспечат непрерывность работы.

Отдельно стоит рассмотреть угрозы доступности веб-сервисов. Если одним из ключевых элементов в бизнес процессах является корпоративный сайт, то у вас есть шанс подвергнуться атаке "отказ в обслуживании", устроенной недоброжелателями. Этот тип атак направлен на блокирования доступа к вашему сайту извне. Заказ и реализация таких атак дешевеют с каждым годом. а защита от них требует серьёзного подхода к выбору аппаратных и программных средств защиты, а так же тесному взаимодействию с провайдером. Ущерб от такой атаки может быть минимален в случае если у компании сайт "визитка". Но в случае с интернет магазинами, во время запланированных маркетинговых акций, когда ожидаются массовые заказы товаров. Атака приведёт к значительным убыткам и потере репутации среди новых клиентов.

Наше предприятие предлагает услуги по анализу рисков и внедрению систем защиты информации, обучению сотрудников и аудиту.

Предприятие лицензировано ФСТЭК на деятельность по технической защите конфиденциальной информации.

Главное в нашей деятельности это комплексный и индивидуальный подход к каждому клиенту, направленный на создание максимальной защищённости вашей информации в конкретных, наиболее уязвимых местах, с учётом реальных угроз вашему бизнесу. Мы предлагаем разработать и внедрить системы защиты, включающие в себя: организационно-распорядительные документы, средства защиты информации, обучение сотрудников работе с ними, создать методическую литературу и памятки для ваших сотрудников, контролировать внедрения средств и регламентов информационной безопасности, а так же оказывать содействие в расследовании инцидентов несанкционированного доступа к информации.

В состав защиты может быть включены требования по защите персональных данных и организация IP-телефонии.